1、等級保護實施指南,廣州市計算機信息網絡安全協會 馬建斌 CISSP/CISA/ISO27001 LA 2010/05,大綱,作為系統等級保護實施的指南性文件 指導對一個信息系統實施安全等級保護的參與各方，如何在等級保護實施過程的各個階段開展相應的活動，給出階段活動的內容、控制方法和輸出結果。 作為等級保護標準體系的指引性文件 介紹實施信息系統等級保護過程中，在不同階段和從事不同活動中，如何使用等級保護標準體系中的其他等級保護相關標準。,實施指南的主要作用,國家管理部門 信息系統主管部門 信息系統運營、使用單位 信息安全服務機構 信息安全等級測評機構 信息安全產品供應商,實施指南的使用對象,第1

2、、2、3章為標準的固定格式要求，說明實施指南標準的使用范圍、引用的其他標準、使用到的術語和定義。 第4章總體描述信息系統等級保護的實施過程，包括實施過程中涉及到的各種角色和職責、實施的基本原則、實施的基本流程。 第5、6、7、8、9章分別根據等級保護實施流程劃分的階段，說明每個階段的主要實施過程。每章以階段名稱作為一級標題，以主要過程作為二級標題，主要活動要素作為三級標題，說明信息系統安全等級保護的實施活動。 附錄A為主要過程的輸出列表。,實施指南的基本結構,信息系統定級階段 總體安全規劃階段 安全設計與實施階段 安全運行與維護階段 信息系統終止階段,等級保護的主要實施階段,等級保護實施概述,

3、4.1 基本原則 4.2 角色和職責 4.3 實施的基本流程,自主保護原則 重點保護原則 同步建設原則 動態調整原則,4.1 基本原則,國家管理部門 信息系統主管部門 信息系統運營、使用單位 信息安全服務機構 信息安全等級測評機構 信息安全產品供應商,4.2 角色和職責,4.3 實施的基本流程,信息系統定級,5.1 工作流程 5.2 信息系統分析 5.3 安全保護等級確定,5.1 信息系統定級階段的工作流程,系統識別和描述 信息系統劃分,5.2 信息系統分析,定級、審核和批準 形成定級報告,5.3 安全保護等級確定,總體安全規劃,6.1 工作流程 6.2 安全需求分析 6.3 總體安全設計 6

4、.4 安全建設項目規劃,6.1 總體規劃階段工作流程,基本安全需求分析 額外/特殊安全需求的確定 形成安全需求分析報告,6.2 安全需求分析,活動目標 根據信息系統的安全保護等級，判斷信息系統現有的安全保護水平與國家等級保護管理規范和技術標準之間的差距，提出信息系統的基本安全保護需求。 活動輸入 信息系統詳細描述文件，信息系統安全保護等級定級報告，信息系統相關的其它文檔，信息系統安全等級保護基本要求。,基本安全需求確定,活動描述 確定系統范圍和分析對象 形成評價指標和評估方案 現狀與評價指標對比 活動輸出 基本安全需求,基本安全需求確定,活動目標 通過對信息系統重要資產特殊保護要求的分析，確定

5、超出相應等級保護基本要求的部分或具有特殊安全保護要求的部分，采用需求分析/風險分析的方法，確定可能的安全風險，判斷對超出等級保護基本要求部分實施特殊安全措施的必要性，提出信息系統的特殊安全保護需求。 活動輸入 信息系統詳細描述文件，信息系統安全保護等級定級報告，信息系統相關的其它文檔。,額外/特殊安全需求,活動描述 重要資產的分析 重要資產安全弱點評估 重要資產面臨威脅評估 綜合風險分析 活動輸出 重要資產的特殊保護要求,額外/特殊安全需求,活動目標 總結基本安全需求和特殊安全需求，形成安全需求分析報告。 活動輸入 信息系統詳細描述文件，信息系統安全保護等級定級報告，基本安全需求，重要資產的特

6、殊保護要求。,形成安全需求分析報告,活動描述 完成安全需求分析報告 信息系統描述 安全管理狀況 安全技術狀況 存在的不足和可能的風險 安全需求描述 活動輸出 安全需求分析報告,形成安全需求分析報告,總體安全策略設計 安全技術體系結構設計 整體安全管理體系結構設計 設計結果文檔化,6.3 總體安全設計,活動目標 形成機構綱領性的安全策略文件，包括確定安全方針，制定安全策略，以便結合等級保護基本要求和安全保護特殊要求，構建機構信息系統的安全技術體系結構和安全管理體系結構。 活動輸入 信息系統詳細描述文件，信息系統安全保護等級定級報告，安全需求分析報告。,總體安全策略設計,活動描述 確定安全方針 制

7、定安全策略 活動輸出 總體安全策略文件,總體安全策略設計,活動目標 根據信息系統安全等級保護基本要求、安全需求分析報告、機構總體安全策略文件等，提出系統需要實現的安全技術措施，形成機構特定的系統安全技術體系結構，用以指導信息系統分等級保護的具體實現。 活動輸入 信息系統詳細描述文件，信息系統安全保護等級定級報告，安全需求分析報告，信息系統安全等級保護基本要求。,安全技術體系結構設計,活動描述 規定骨干網/城域網的安全保護技術措施 規定子系統之間互聯的安全技術措施 規定不同級別子系統的邊界保護技術措施 規定不同級別子系統內部系統平臺和業務應用的安全保護技術措施 規定不同級別信息系統機房的安全保護

8、技術措施 形成信息系統安全技術體系結構 活動輸出 信息系統安全技術體系結構。,安全技術體系結構設計,活動目標 根據等級保護基本要求、安全需求分析報告、機構總體安全策略文件等，調整原有管理模式和管理策略，既從全局高度考慮為每個等級信息系統制定統一的安全管理策略，又從每個信息系統的實際需求出發，選擇和調整具體的安全管理措施，最后形成統一的整體安全管理體系結構。 活動輸入 信息系統詳細描述文件，信息系統安全保護等級定級報告，安全需求分析報告，信息系統安全等級保護基本要求。,整體安全管理體系結構設計,活動描述 規定信息安全的組織管理體系和對各信息系統的安全管理職責 規定各等級信息系統的人員安全管理策略

9、 規定各等級信息系統機房及辦公區等物理環境的安全管理策略 規定各等級信息系統介質、設備的安全管理策略 規定各等級信息系統運行安全管理策略 規定各等級信息系統安全事件處置和應急管理策略 形成信息系統安全管理策略框架 活動輸出 信息系統安全管理體系結構。,整體安全管理體系結構設計,活動目標 將總體安全設計工作的結果文檔化，最后形成一套指導機構信息安全工作的指導性文件。 活動輸入 安全需求分析報告，信息系統安全技術體系結構，信息系統安全管理體系結構。,設計結果文檔化,活動描述 對安全需求分析報告、信息系統安全技術體系結構和安全管理體系結構等文檔進行整理，形成信息系統總體安全方案?？傮w方案包含如下內容

10、： 信息系統概述； 總體安全策略； 信息系統安全技術體系結構； 信息系統安全管理體系結構。 活動輸出 信息系統安全總體方案,設計結果文檔化,安全建設目標確定 安全建設內容規劃 安全建設項目計劃,6.4 安全建設項目規劃,活動目標 依據信息系統安全總體方案（一個或多個文件構成）、機構或單位信息化建設的中長期發展規劃和機構的安全建設資金狀況確定各個時期的安全建設目標。 活動輸入 信息系統安全總體方案、機構或單位信息化建設的中長期發展規劃。,安全建設目標確定,活動描述 信息化建設中長期發展規劃和安全需求調查 提出信息系統安全建設分階段目標 活動輸出 信息系統分階段安全建設目標,安全建設目標確定,活動

11、目標 根據安全建設目標和信息系統安全總體方案的要求，設計分期分批的主要建設內容，并將建設內容組合成不同的項目，闡明項目之間的依賴或促進關系等。 活動輸入 信息系統安全總體方案，信息系統分階段安全建設目標。,安全建設內容規劃,活動描述 確定主要安全建設內容 確定主要安全建設項目 活動輸出 安全建設項目列表（含安全建設內容）,安全建設內容規劃,活動目標 根據建設目標和建設內容，在時間和經費上對安全建設項目列表進行總體考慮，分到不同的時期和階段，設計建設順序，進行投資估算，形成安全建設項目計劃。 活動輸入 信息系統安全總體方案，信息系統分階段安全建設目標，安全建設內容等。,形成安全建設項目計劃,活動

12、描述 規劃建設的依據和原則 規劃建設的目標和范圍 信息系統安全現狀 信息化的中長期發展規劃 信息系統安全建設的總體框架 安全技術體系建設規劃 安全管理與安全保障體系建設規劃 安全建設投資估算 信息系統安全建設的實施保障等內容 活動輸出 信息系統安全建設項目計劃,形成安全建設項目計劃,安全設計與實施,7.1 工作流程 7.2 安全方案詳細設計 7.3 管理措施實現 7.4 技術措施實現,7.1 安全設計與實施階段工作流程,技術措施實現內容設計 管理措施實現內容設計 設計結果文檔化,7.2 安全方案詳細設計,活動目標 根據建設目標和建設內容將信息系統安全總體方案中要求實現的安全策略、安全技術體系結

13、構、安全措施和要求落實到產品功能或物理形態上，提出能夠實現的產品或組件及其具體規范，并將產品功能特征整理成文檔。使得在信息安全產品采購和安全控制開發階段具有依據。 活動輸入 信息系統安全總體方案，信息系統安全建設項目計劃，各類信息技術產品和信息安全產品技術白皮書。,技術措施實現內容設計,活動描述 結構框架設計 功能要求設計 性能要求設計 部署方案設計 制定安全策略實現計劃 活動輸出 技術措施落實方案,技術措施實現內容設計,活動目標： 根據機構當前安全管理需要和安全技術保障需要提出與信息系統安全總體方案中管理部分相適應的本期安全實施內容，以保證安全技術建設的同時，安全管理的同步建設。 活動輸入

14、信息系統安全總體方案，信息系統安全建設項目計劃。,管理措施實現內容設計,活動描述： 結合系統實際安全管理需要和本次技術建設內容，確定本次安全管理建設的范圍和內容，同時注意與信息系統安全總體方案的一致性。安全管理設計的內容主要考慮：安全管理機構和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。 活動輸出 管理措施落實方案。,管理措施實現內容設計,活動目標： 將技術措施落實方案、管理措施落實方案匯總，同時考慮工時和費用，最后形成指導安全實施的指導性文件。 活動輸入 技術措施落實方案，管理措施落實方案。,設計結果文檔化,活動描述： 本期建設目標和建設內容 技術實現框架 信息安全產品或組件功

15、能及性能 信息安全產品或組件部署 安全策略和配置 配套的安全管理建設內容 工程實施計劃 項目投資概算 活動輸出 安全詳細設計方案。,設計結果文檔化,管理機構和人員設置 管理制度建設和修訂 人員安全技能培訓 安全實施過程管理,7.3 管理措施實現,活動目標 本活動的目標是建立配套的安全管理職能部門，通過管理機構的崗位設置、人員的分工以及各種資源的配備，為信息系統的安全管理提供組織上的保障。 活動輸入 機構現有相關管理制度和政策，安全詳細設計方案。,管理機構和人員的設置,活動描述 安全組織確定 角色說明 活動輸出 機構、角色與職責說明書,管理機構和人員的設置,活動目標 本活動的目標是建設或修訂與信

16、息系統安全管理相配套的、包括所有信息系統的建設、開發、運維、升級和改造等各個階段和環節所應當遵循的行為規范和操作規程。 活動輸入 安全組織結構表，安全成員及角色說明書，安全詳細設計方案。,管理制度的建設和修訂,活動描述 應用范圍明確 人員職責定義 行為規范規定 評估與完善 活動輸出 各項管理制度和操作規范,管理制度的建設和修訂,活動目標 對人員的職責、素質、技能等方面進行培訓，保證人員具有與其崗位職責相適應的技術能力和管理能力，以減少人為因素給系統帶來的安全風險 活動輸入 系統/產品使用說明書，各項管理制度和操作規范 活動描述 針對普通員工、管理員、開發人員、主管人員以及安全人員的特定技能培訓

17、和安全意識培訓，培訓后進行考核，合格者發給上崗資格證書等。 活動輸出 培訓記錄及上崗資格證書等。,人員安全技能培訓,活動目標 本活動的目標是在系統定級、規劃設計、實施過程中，對工程的質量、進度、文檔和變更等方面的工作進行監督控制和科學管理。 活動輸入 安全設計與實施階段參與各方相關進度控制和質量監督要求文檔。,安全實施過程管理,活動描述 質量管理 風險管理 變更管理 進度管理 文檔管理 活動輸出 各階段管理過程文檔,安全實施過程管理,信息安全產品采購 安全控制開發 安全控制集成 系統驗收,7.4 技術措施實現,活動目標 本活動的目標是按照安全詳細設計方案中對于產品的具體指標要求進行產品采購，根

18、據產品或產品組合實現的功能滿足安全設計要求的情況來選購所需的信息安全產品。 活動輸入 安全詳細設計方案，相關產品信息。,信息安全產品采購,活動描述 制定產品采購說明書 產品選擇 活動輸出 需采購信息安全產品清單。,信息安全產品采購,活動目標 本活動的目標是對于一些不能通過采購現有信息安全產品來實現的安全措施和安全功能，通過專門進行的設計、開發來實現。安全控制的開發應當與系統的應用開發同步設計、同步實施，而應用系統一旦開發完成后，再增加安全措施會造成很大的成本投入。因此，在應用系統開發的同時，要依據安全詳細設計方案進行安全控制的開發設計，保證系統應用與安全控制同步建設。 活動輸入 安全詳細設計方

19、案。,安全控制開發,活動描述 安全措施需求分析 概要設計 詳細設計 編碼實現 測試 安全控制開發過程文檔化 活動輸出 安全控制開發過程相關文檔。,安全控制開發,活動目標 將不同的軟硬件產品集成起來，依據安全詳細設計方案，將信息安全產品、系統軟件平臺和開發的安全控制模塊與各種應用系統綜合、整合成為一個系統。安全控制集成的過程需要把安全實施、風險控制、質量控制等有機結合起來，遵循運營使用單位與信息安全服務機構共同參與相互配合的實施的原則。 活動輸入 安全詳細設計方案。,安全控制集成,活動描述 集成實施方案制定 集成準備 集成實施 培訓 形成安全控制集成報告 活動輸出 安全控制集成報告。,安全控制集

20、成,活動目標 檢驗系統是否嚴格按照安全詳細設計方案進行建設，是否實現了設計的功能和性能。在安全控制集成工作完成后，系統測試及驗收是從總體出發，對整個系統進行集成性安全測試，包括對系統運行效率和可靠性的測試，也包括對管理措施落實內容的驗收。 活動輸入 安全詳細設計方案，安全控制集成報告。,系統驗收,活動描述 系統驗收準備 組織系統驗收 驗收報告 系統交付 活動輸出 系統驗收報告。,系統驗收,安全運行與維護,8.1 工作流程 8.2 運行管理和控制 8.3 變更管理和控制 8.4 安全狀態監控 8.5 安全事件處置和應急預案,8.6 安全檢查和持續改進 8.7 等級測評 8.8 系統備案 8.9

21、監督檢查,8.1 安全運行與維護階段的工作流程,運行管理職責確定 運行管理過程控制,8.2 運行管理和控制,活動目標 通過對運行管理活動或任務的角色劃分，并授予相應的管理權限，來確定安全運行管理的具體人員和職責。 活動輸入 安全詳細設計方案，安全組織機構表。 活動描述 劃分運行管理角色 授予管理權限 定義人員職責 活動輸出 運行管理人員角色和職責表。,運行管理職責確定,活動目標 本活動的主要目標是通過制定運行管理操作規程，確定運行管理人員的操作目的、操作內容、操作時間和地點、操作方法和流程等，并進行操作過程記錄，確保對操作過程進行控制。 活動輸入 運行管理需求，運行管理人員角色和職責表。 活動

22、描述 建立操作規程 操作過程記錄 活動輸出 各類運行管理操作規程。,運行管理過程控制,變更需求和影響分析 變更過程控制,8.3 變更管理和控制,活動目標 是通過對變更需求和變更影響的分析，來確定變更的類別，計劃后續的活動內容。 活動輸入 變更需求 活動描述 變更需求分析 變更影響分析 明確變更的類別 制定變更方案 活動輸出 變更方案,變更需求和影響分析,活動目標 確保變更實施過程受到控制，各項變化內容進行記錄，保證變更對業務的影響最小。 活動輸入 變更方案 活動描述 變更內容審核和審批 建立變更過程日志 形成變更結果報告 活動輸出 變更結果報告。,變更過程控制,監控對象確定 監控對象狀態信息收

23、集 監控狀態分析和報告,8.4 安全狀態監控,活動目標 確定可能會對信息系統安全造成影響的因素，即確定安全狀態監控的對象。 活動輸入 安全詳細設計方案、系統驗收報告等。 活動描述 安全關鍵點分析 形成監控對象列表 活動輸出 監控對象列表。,監控對象確定,活動目標 選擇狀態監控工具，收集安全狀態監控的信息，識別和記錄入侵行為，對信息系統的安全狀態進行監控。 活動輸入 監控對象列表。 活動描述 選擇監控工具 狀態信息收集 活動輸出 安全狀態信息。,監控對象狀態信息收集,活動目標 通過是對安全狀態信息進行分析，及時發現安全事件或安全變更需求，并對其影響程度和范圍進行分析，形成安全狀態結果分析報告。

24、活動輸入 安全狀態信息。 活動描述 狀態分析 影響分析 形成安全狀態分析報告 活動輸出 安全狀態分析報告。,監控狀態分析和報告,安全事件分級 應急預案制定 安全事件處置,8.5 安全事件處置和應急預案,活動目標 結合信息系統的實際情況，分析事件對信息系統的破壞程度，所造成后果嚴重程度，將安全事件依次進行分級。 活動輸入 各類安全事件列表。 活動描述 安全事件調查和分析 安全事件等級劃分 活動輸出 安全事件報告程序。,安全事件分級,活動目標 通過對安全事件的等級分析，在統一的應急預案框架下制定不同安全事件的應急預案。 活動輸入 安全事件報告程序 活動描述： 確定應急預案對象 確定和認可各項職責

25、制定應急預案程序及其執行條件 活動輸出 各類應急預案。,應急預案制定,活動目標 對監控到的安全事件采取適當的方法進行處置，對安全事件的影響程度和等級進行分析，確定是否啟動應急響應。 活動輸入 安全狀態分析報告，安全事件報告程序，各類應急預案。 活動描述 安全事件上報 安全事件處置 安全事件總結和報告 活動輸出 安全事件處置報告。,安全事件處置,安全狀態檢查 改進方案制定 安全改進實施,8.6 安全檢查和持續改進,活動目標 通過對信息系統的安全狀態進行檢查，為信息系統的持續改進過程提供依據和建議，確保信息系統的安全保護能力滿足相應等級安全要求。 活動輸入 信息系統詳細描述文件，變更結果報告，安全

26、狀態分析報告。 活動描述 確定檢查對象和檢查方法，制定檢查計劃和檢查方案 安全檢查實施，結果和報告 活動輸出 安全檢查報告。,安全狀態檢查,活動目標 依據安全檢查的結果，調整信息系統的安全狀態，保證信息系統安全防護的有效性。 活動輸入 安全檢查報告。 活動描述 安全改進的立項 制定安全改進方案 活動輸出 安全改進方案。,改進方案制定,活動目標 保證按照安全改進方案實現各項補充安全措施，并確保原有的技術措施和管理措施與各項補充的安全措施一致有效地工作。 活動輸入 安全改進方案。 活動描述 安全方案實施控制 安全措施測試與驗收 配套技術文件和管理制度的修訂 活動輸出 測試或驗收報告。,安全改進實施

27、,活動目標 通過信息安全等級測評機構對已經完成等級保護建設的信息系統定期進行等級測評，確保信息系統的安全保護措施符合相應等級的安全要求。 活動輸入 信息系統詳細描述文件，信息系統安全保護等級定級報告，系統驗收報告。 活動描述 參見有關信息系統安全保護等級測評的規范或標準。 活動輸出 安全等級測評報告。,8.7 等級測評,活動目標 根據國家管理部門對備案的要求，整理相關備案材料，并向受理備案的單位提交備案材料。 活動輸入 信息系統安全保護等級定級報告，信息系統安全總體方案，安全詳細設計方案，安全等級測評報告。 活動描述 備案材料整理 備案材料提交 活動輸出 備案材料,8.8 系統備案,活動目標 通過國家管理部門對信息系統定級、規劃設計、建設實施和運行管理等過程進行監督檢查，確保其符合信息系統安全保護相應等級的要求。 活動輸入 備案材料 活動描述 參見信息安全等級保護監督檢查的規范或標準。 活動輸出 監督檢查結果報告。,8.9 監督檢查,信息系統終止,9.1 工作流程 9.2 信息轉移、暫存和清除